Polityka klauzul informacyjnych i przejrzystości

Polityka klauzul informacyjnych i przejrzystości określa wymagania organizacji dotyczące tworzenia, zatwierdzania, publikowania, utrzymywania, przeglądania i dokumentowania klauzul informacyjnych oraz informacji o przejrzystości dla przetwarzania PII w zakresie PIMS. Jej wskazanym celem jest zapewnienie, aby osoby, których dane dotyczą, otrzymywały „jasne, aktualne, dostępne i możliwe do prześledzenia audytowo klauzule informacyjne przed wymaganym momentem w cyklu życia przetwarzania PII albo w tym momencie”. Polityka ma zastosowanie do przetwarzania przez administratora, informacji o przejrzystości współadministratora oraz wsparcia podmiotu przetwarzającego lub podwykonawcy przetwarzania w zakresie obowiązków administratora dotyczących klauzul informacyjnych, gdy organizacja działa zgodnie z udokumentowanymi poleceniami klienta lub podmiotu przetwarzającego. Właścicielem polityki jest osoba odpowiedzialna za prywatność / Menedżer PIMS, a polityka jest zatwierdzana przez najwyższe kierownictwo i wykorzystuje REG02, REG06, REG07, REG11 oraz REG12 jako obiekty dowodowe. Centralnym elementem polityki jest kontrola treści klauzul informacyjnych przez REG07. Polityka ustanawia REG07 jako autorytatywny obiekt dowodowy dla inwentarza klauzul, zatwierdzeń, publikacji, przeglądów, języków i zapisów kontroli wersji. W przypadku przetwarzania przez administratora właściciele procesów / właściciele biznesowi muszą utworzyć zapis klauzuli informacyjnej REG07 powiązany z odpowiednią czynnością przetwarzania REG02 przed uruchomieniem każdego nowego kanału zbierania PII, usługi, formularza, kampanii, produktu lub funkcji. Jeżeli PII uzyskuje się ze źródła innego niż osoba, której dane dotyczą, zapis musi zostać utworzony przed pierwszą komunikacją, przed pierwszym ujawnieniem stronie trzeciej albo w ciągu 20 dni roboczych od uzyskania PII, w zależności od tego, które z tych zdarzeń nastąpi wcześniej. Polityka wymaga również, aby klauzule były powiązane z aktualnymi celami przetwarzania REG02, odniesieniami do podstawy prawnej, kategoriami PII, kategoriami osób, których dane dotyczą, kategoriami źródeł, kategoriami odbiorców, odniesieniami do retencji oraz odniesieniami do transferów. Polityka definiuje uporządkowany cykl życia zatwierdzania i publikacji. Właściciele procesów / właściciele biznesowi poświadczają dokładność i kompletność treści klauzuli oraz przekazują zapis REG07 do zatwierdzenia przez osobę odpowiedzialną za prywatność / Menedżera PIMS przed publikacją lub aktywacją kanału zbierania danych. Osoba odpowiedzialna za prywatność / Menedżer PIMS weryfikuje spójność z REG02 i zatwierdza albo odrzuca klauzulę. Właściciele systemów / właściciele aplikacji mogą opublikować wyłącznie zatwierdzoną wersję klauzuli REG07 przed włączeniem cyfrowych kanałów zbierania danych, natomiast właściciele procesów / właściciele biznesowi muszą udostępnić zatwierdzone klauzule w kanałach niecyfrowych przed zebraniem PII. Dowody publikacji, w tym lokalizacja i znacznik czasu lub równoważny dowód, muszą zostać zapisane w REG07 w ciągu dwóch dni roboczych po publikacji. Jeżeli brakuje wymaganych dowodów zatwierdzonej klauzuli, nowy kanał zbierania danych przez administratora nie może zostać uruchomiony produkcyjnie. Jakość przejrzystości jest zapewniana przez kontrole języka, dostępności, wersji i zmian. Polityka wymaga identyfikacji docelowych odbiorców spośród osób, których dane dotyczą, oraz wymaganych wersji językowych przed zatwierdzeniem. Wymaga dowodów jasnego języka i odpowiedniości dla odbiorców w REG07, przetłumaczonych lub zlokalizowanych wersji przed publikacją oraz równoważności wersji między klauzulą nadrzędną a klauzulami zlokalizowanymi w ciągu 10 dni roboczych po istotnej aktualizacji. Nieaktualne wersje klauzul muszą zostać usunięte, przekierowane lub oznaczone w ciągu pięciu dni roboczych po publikacji wersji zastępującej, natomiast zastąpione wersje, daty wejścia w życie, dowody zatwierdzenia i dowody publikacji muszą być przechowywane w REG07. Istotne zmiany dotyczące tożsamości administratora, punktu kontaktowego, celu przetwarzania, podstawy prawnej, kategorii PII, kategorii odbiorców, odniesień do retencji, odniesień do transferów, kanałów wniosków o realizację praw, kanałów skarg lub kontaktu w sprawach prywatności, zakresu językowego, kanałów publikacji albo kontekstu przetwarzania uruchamiają kontrole aktualizacji klauzul. Polityka obejmuje również wymagania dotyczące nadzoru, pomiaru, wyjątków, egzekwowania i utrzymania. Aktywne klauzule REG07 są przeglądane co najmniej raz w roku oraz w ciągu 30 dni po istotnych zmianach prawnych, regulacyjnych, umownych lub dotyczących przetwarzania. Zapisy klauzul REG07 są kwartalnie uzgadniane z celami przetwarzania REG02, a nierozwiązane rozbieżności są rejestrowane w REG12. Metryki obejmują odsetek aktywnych klauzul powiązanych z aktualnymi celami REG02, klauzule przeglądane w terminie, zaległe aktualizacje, nierozwiązane rozbieżności, zablokowane lub opóźnione kanały zbierania danych, terminowo zakończone wnioski klientów o wsparcie klauzul informacyjnych oraz klauzule z aktualnymi dowodami języka, wersji, zatwierdzenia i publikacji. Wyjątki muszą być zapisane w REG12 przed wystąpieniem odstępstw, z wymaganą poradą dotyczącą prywatności i zatwierdzeniem najwyższego kierownictwa dla określonych wyjątków związanych z klauzulami. Brakujące, nieprawidłowe, nieopublikowane, niezatwierdzone lub nieaktualne dowody klauzul są rejestrowane jako niezgodność, a istotnie nieprawidłowe lub wprowadzające w błąd klauzule są eskalowane do Inspektora Ochrony Danych / doradcy ds. prywatności oraz najwyższego kierownictwa w ciągu dwóch dni roboczych od potwierdzenia.